Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ПРОЕКТЕдиная система идентификации и аутентификации (ЕСИА)        Схемы использования ЕСИА      в органах исполнительной в...
Содержание1      Общие сведения о ЕСИА ......................................................................................
6.2   Рекомендации по авторизации доступа пользователей, которые прошлиаутентификацию в ЕСИА ................................
1 ОБЩИЕ СВЕДЕНИЯ О ЕСИА     1.1 Цели создания ЕСИА     а) Обеспечить идентификацию / аутентификацию пользователей при     ...
работы с одной из ИС, подключенной к ЕСИА, происходит завершениесеансов работы со всеми ИС.     Управление идентификационн...
отправления Почтой России), либо соответствует пользователям,          которые    подтвердили       свою   личность    с  ...
Рисунок 1 – Требования к уровням достоверности идентификации       1.3 Функциональные возможности ЕСИА для ОИВ       Основ...
(оператор регистрации).     б) Основным идентификатором ДЛ ОИВ является СНИЛС. СНИЛС не        изменяется при изменении др...
class Domain Model                                                  Профиль                                               ...
(предоставление роли представителя ОИВ);        2) назначение и изменение атрибутов профиля пользователя в             орг...
Для решения задач управления идентификационными данными иполномочиями представителей ОИВ в ЕСИА будет создана иерархическа...
2 СХЕМЫ ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ       ДОСТУПЕ ПРЕДСТАВИТЕЛЕЙ ОИВ     ЕСИА участвует в управлении доступом должностных лиц О...
2.1 Регистрация представителей ОИВ в ЕСИА       Далее рассмотрены следующие варианты регистрации представителейОИВ в ЕСИА:...
выполняется        автоматическая          верификация         в    ФНС       на                соответствие ИНН и ФИО;   ...
BPMN Регистрация представителей ОИВ через GUI (simple)          «Pool» Оператор регистрации                             «P...
uc Регистрация представителей ОИВ через графический интерфейс ЕСИА                      ОИВ                     :Оператор ...
СМЭВ. Если проверки пройдены успешно, ЕСИА создаёт для новогоработника ОИВ учетную запись с ролью представителя ОИВ (или и...
uc Регистрация представителей ОИВ через w eb-сервисы СМЭВ                                   ОИВ                           ...
данные о новом работнике. Для этого IdM-система вызывает веб-сервисрегистрации пользователей ЕСИА, зарегистрированный в СМ...
uc Регистрация представителей ОИВ через систему IdM и w eb-сервисы СМЭВ                                             ОИВ   ...
работников ОИВ6. Оператор полномочий                                     предоставляет полномочияработнику ОИВ, используя ...
uc Предоставление полномочий представителям ОИВ через графическ...                                          ОИВ           ...
BPMN Предоставление полномочий представителям ОИВ через систему IdM и w eb-сервисы СМЭВ       «Pool» Орган исполнительной ...
uc Предоставление полномочий претавителям ОИВ через систему IdM и w eb-сервисы СМЭВ                          ОИВ          ...
г) ЕСИА передаёт в ИС ОИВ набор утверждений, содержащих   идентификационные          данные   пользователя,     информацию...
Рисунок 14 – Идентификация / аутентификация пользователей в ЕСИА                                                          ...
2.4 Регистрация                     информационной                         системы,             использующей              ...
е) Оператор ЕСИА после успешной регистрации ИС в системе НСИ        регистрирует метаданные ИС (в том числе сертификат ЭП ...
3 СХЕМА ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ       ДОСТУПЕ ПОЛЬЗОВАТЕЛЕЙ ИНТЕРНЕТ     ЕСИА участвует в управлении доступом пользователей...
г) ЕСИА осуществляет проверку введенных данных, после чего        создает учетную запись.     3.2 Идентификация         / ...
4 СХЕМА ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ       МЕЖВЕДОМСТВЕННОМ ВЗАИМОДЕЙСТВИИ     ЕСИА участвует в межведомственном взаимодействии ...
Рисунок 16 - Регистрация информационной системы, вызывающей сервисы                                СМЭВ     Основной сцена...
Рисунок 17 – Регистрация информационной системы, предоставляющей                         сервисы на СМЭВ    Основной сцена...
политику доступа, отвечающую потребностям ОИВ.       б) Оператор СМЭВ регистрирует новое полномочие по доступу к          ...
BPMN Предоставление полномочий информационным системам через GUI             «Pool» Оператор полномочий                   ...
Рисунок 19 - Авторизация информационных систем при межведомственном                          взаимодействииРисунок 20 – Ав...
Основной сценарий:а) Информационная система инициировала передачу через СМЭВ   сообщения.        Сообщение        соответс...
5 РАЗЛИЧИЯ МЕЖДУ ТЕХНОЛОГИЧЕСКИМИ       ПОРТАЛАМИ ЕСИА И СМЭВ    Из бизнес-сценариев, рассмотренных в главах 2.4, 2.5, 4.1...
6 РЕКОМЕНДАЦИИ ДЛЯ ВЛАДЕЛЬЦЕВ ИС       ОИВ     6.1 Рекомендации по регистрации должностных лиц ОИВ         в ЕСИА     У ка...
Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)
Upcoming SlideShare
Loading in …5
×

Cхема использования ЕСИА (проект - апрель 2012)

5,961 views

Published on

Cхема использования ЕСИА (проект - апрель 2012)

  • Be the first to comment

Cхема использования ЕСИА (проект - апрель 2012)

  1. 1. ПРОЕКТЕдиная система идентификации и аутентификации (ЕСИА) Схемы использования ЕСИА в органах исполнительной власти
  2. 2. Содержание1 Общие сведения о ЕСИА ....................................................................................................... 4 1.1 Цели создания ЕСИА...................................................................................................... 4 1.2 Основные функциональные возможности ЕСИА ....................................................... 4 1.3 Функциональные возможности ЕСИА для ОИВ ......................................................... 7 1.3.1 Особенности регистрации в ЕСИА должностных лиц ОИВ ............................... 7 1.3.2 Роли пользователей в ЕСИА для ОИВ .................................................................. 82 Схемы использования ЕСИА при доступе представителей ОИВ ................................... 12 2.1 Регистрация представителей ОИВ в ЕСИА ............................................................... 13 2.1.1 Регистрация представителей ОИВ через графический интерфейс ЕСИА ....... 13 2.1.2 Регистрация представителей ОИВ через веб-сервисы СМЭВ ......................... 16 2.1.3 Регистрация представителей ОИВ через систему IdM и веб-сервисы СМЭВ 18 2.2 Предоставление/отзыв полномочий представителям ОИВ в ЕСИА ....................... 20 2.2.1 Предоставление / отзыв полномочий представителям ОИВ через графический интерфейс ЕСИА .................................................................................................................. 20 2.2.2 Предоставление / отзыв полномочий представителям ОИВ через систему IdM и веб-сервисы СМЭВ ........................................................................................................... 22 2.3 Идентификация / аутентификация представителей ОИВ в ЕСИА .......................... 24 2.4 Регистрация информационной системы, использующей ЕСИА для идентификации / аутентификации пользователей ................................................................ 27 2.5 Ведение справочника полномочий ИС ОИВ ............................................................. 283 Схема использования ЕСИА при доступе пользователей Интернет .............................. 29 3.1 Регистрация пользователей Интернет в ЕСИА.......................................................... 29 3.2 Идентификация / аутентификация пользователей Интернет в ЕСИА..................... 304 Схема использования ЕСИА при межведомственном взаимодействии ......................... 31 4.1 Регистрация информационных систем ОИВ, осуществляющих межведомственное взаимодействие через СМЭВ.................................................................................................. 31 4.1.1 Регистрация информационной системы, использующей сервисы СМЭВ....... 31 4.1.2 Регистрация информационной системы, предоставляющей сервисы в СМЭВ .. ................................................................................................................................. 32 4.2 Ведение справочника полномочий СМЭВ ................................................................ 33 4.3 Предоставление информационным системам ОИВ полномочий по доступу к сервисам СМЭВ ....................................................................................................................... 34 4.4 Авторизация информационных систем при межведомственном взаимодействии 355 Различия между технологическими порталами ЕСИА и СМЭВ..................................... 386 РекоменДации для владельцев ИС ОИВ............................................................................ 39 6.1 Рекомендации по регистрации должностных лиц ОИВ в ЕСИА ............................. 39 2
  3. 3. 6.2 Рекомендации по авторизации доступа пользователей, которые прошлиаутентификацию в ЕСИА ........................................................................................................ 396.3 Рекомендации по регистрации в ИС ОИВ пользователей, которые прошлиаутентификацию в ЕСИА ........................................................................................................ 416.4 Рекомендации по выбору механизма аутентификации в ИС ОИВ .......................... 426.5 Некоторые ограничения по использованию ЕСИА................................................... 42 3
  4. 4. 1 ОБЩИЕ СВЕДЕНИЯ О ЕСИА 1.1 Цели создания ЕСИА а) Обеспечить идентификацию / аутентификацию пользователей при доступе к ресурсам ИЭП. б) Обеспечить централизованное управление идентификационными данными пользователей и их полномочиями по доступу к ресурсам ИЭП. 1.2 Основные функциональные возможности ЕСИА Однократная аутентификация пользователей (Single Sign On) ЕСИА обеспечивает однократную аутентификацию пользователей.Пользователям это даёт следующее преимущество: пройдя процедуруидентификации / аутентификации в ЕСИА, пользователь может в течениеодного сеанса работы обращаться к любым ИС, которые подключены кЕСИА, и при этом не потребуется повторная идентификация /аутентификация. В общих чертах однократная аутентификация реализована следующимобразом: когда пользователь обращается к защищённому ресурсу ИС, ИСнаправляет в ЕСИА запрос на аутентификацию пользователя. ЕСИАпроверяет наличие открытой сессии у пользователя и, если активная сессияотсутствует, проводит аутентификацию пользователя. Затем ЕСИА передаётв ИС набор утверждений, содержащих идентификационные данныепользователя, информацию о контексте аутентификации и полномочияхпользователя. На основании полученной из ЕСИА информации, ИСпринимает решение об авторизации - разрешает или запрещает доступ кресурсу. Единый выход пользователей (Single Logout) ЕСИА поддерживает возможность единого выхода пользователей.Пользователям это даёт следующее преимущество: после завершения сеанса 4
  5. 5. работы с одной из ИС, подключенной к ЕСИА, происходит завершениесеансов работы со всеми ИС. Управление идентификационными данными (Identity Management) ЕСИА обеспечивает регистрацию и управление идентификационнымиданными пользователей, организаций, информационных систем. ЕСИАпредоставляет пользователям возможность самостоятельного изменениясвоих идентификационных данных в личном кабинете. ЕСИА обеспечиваетверификацию (проверку достоверности) идентификационных данныхпользователей и организаций с использованием сервисов ОИВ. В настоящеевремя ЕСИА использует веб-сервис ПФР для проверки соответствия СНИЛСи ФИО, веб-сервис ФНС — для проверки соответствия ИНН и ФИО,ОГРН/ОГРНИП и ФИО, веб-сервисы ФМС для проверки сведений опаспортах граждан РФ и документов, предъявленных при пересеченииграницы РФ (только для иностранных граждан и лицах без гражданства). Поддержка различных методов аутентификации В настоящее время ЕСИА может выполнять аутентификациюпользователей по постоянному паролю и по электронной подписи. Поддержка различных уровней достоверности идентификации Уровень достоверности идентификации (англ. «identity assurancelevel») – степень уверенности в том, что идентифицированный субъектявляется тем, за кого себя выдаёт. Повышение уровня достоверностиидентификации достигается путём верификации идентификационных данныхи применения более строгих методов аутентификации. В настоящий момент в ЕСИА предлагается использовать 4 уровнядостоверности идентификации: а) Уровень 1 — предназначен для пользователей, личность которых не подтверждена. б) Уровень 2 — соответствует пользователям, которые подтвердили свою личность с помощью метода, не дающего высокой гарантии достоверности (через отправку регистрируемого почтового 5
  6. 6. отправления Почтой России), либо соответствует пользователям, которые подтвердили свою личность с помощью метода, обеспечивающего высокую достоверность (личная явка в офис регистрации и предъявление удостоверения личности) и использующие при идентификации и аутентификации менее надежные средства идентификации (например, логин и пароль). в) Уровень 3 — соответствует пользователям, которые подтвердили свою личность с помощью метода, обеспечивающего высокую достоверность (личная явка в офис регистрации и предъявление удостоверения личности), и использующие при идентификации и аутентификации более надежные средства идентификации (например, электронную подпись). г) Уровень 4 — соответствует пользователям, к которым предъявляются самые строгие требования по регистрации и идентификации и аутентификации. Например, пользователям с ролью ДЛ ОИВ, регистрация которых выполняется непосредственно в ОИВ. На рисунке ниже показаны основные требования к уровнямдостоверности идентификации в ЕСИА. 6
  7. 7. Рисунок 1 – Требования к уровням достоверности идентификации 1.3 Функциональные возможности ЕСИА для ОИВ Основные функциональные возможности, предоставляемые ЕСИА дляОИВ: а) Регистрация ДЛ ОИВ и ИС ОИВ. б) Управление полномочиями ДЛ ОИВ. в) Идентификация и аутентификация ДЛ ОИВ и пользователей Интернет при доступе к ресурсам ИС ОИВ. г) Управление полномочиями ИС ОИВ по доступу к сервисам СМЭВ. д) Авторизация ИС ОИВ при межведомственном взаимодействии через СМЭВ. 1.3.1 Особенности регистрации в ЕСИА должностных лиц ОИВ Регистрация ДЛ ОИВ в ЕСИА имеет следующие особенности: а) В ЕСИА должна быть исключена самостоятельная регистрация пользователей с ролью ДЛ ОИВ - зарегистрировать ДЛ ОИВ может только уполномоченное лицо ОИВ. Таким лицом может быть сотрудник кадрового подразделения или другой человек 7
  8. 8. (оператор регистрации). б) Основным идентификатором ДЛ ОИВ является СНИЛС. СНИЛС не изменяется при изменении других идентификационных данных пользователя. Поэтому, например, при смене фамилии учетную запись регистрировать заново не нужно. ДЛ ОИВ должен иметь возможность изменить свои идентификационные данные в личном кабинете ЕСИА и создать запрос на верификацию изменённых данных. в) Один человек может работать в нескольких ОИВ, поэтому его учетная запись в ЕСИА может быть связана с несколькими ОИВ. г) Пользователь с ролью ДЛ ОИВ (в отличие от «обычных» пользователей ЕСИА) не должен иметь возможность удалить свою учетную запись из ЕСИА. д) При увольнении работник ОИВ должен быть лишен в ЕСИА всех полномочий, связанных с ролью ДЛ ОИВ, но его учетная запись ЕСИА не должна удаляться. После увольнения из ОИВ он может продолжать использовать свою учетную запись, например, для получения государственных услуг в электронном виде. По желанию пользователь может инициировать удаление своей учетной записи из ЕСИА, но только если в этот момент он не обладает ролью ДЛ ОИВ. 1.3.2 Роли пользователей в ЕСИА для ОИВ Должностное лицо ОИВ Представитель (должностное лицо) ОИВ – это пользователь, учетнаязапись которого ассоциирована с учетной записью организации, являющейсяорганом исполнительной власти (ОИВ). Про таких пользователей можносказать, что они играют роль представителей ОИВ в ЕСИА. ОИВ бываютфедеральными и региональными. Как и любые организации, ОИВ могутиметь подразделения. 8
  9. 9. class Domain Model Профиль представителя ОИВ Пользователь +представитель +прис оединённый ОИВ (физ. лицо) ОИВ ОИВ * * Подразделение Рисунок 2 – Модель представителя ОИВ в ЕСИА Представители ОИВ могут иметь полномочия в ИС ОИВ, доверяющихЕСИА выполнение идентификации и аутентификации пользователей.Поэтому к представителям ОИВ должны предъявляться повышенныетребования по подтверждению достоверности идентификационных данных.Регистрацию представителей ОИВ в ЕСИА осуществляют операторырегистрации, которые ответственны за проверку предоставленныхпользователем данных. Оператор регистрации ОИВ Оператор регистрации – это пользователь, который обладаетполномочиями по регистрации представителей ОИВ в ЕСИА. Операторрегистрации должен установить личность пользователя и внести данные опользователе в систему. Оператор регистрации имеет полномочия,позволяющие выполнять следующие функции и операции: а) управление пользователями ЕСИА: 1) создание новых пользователей; 2) назначение и изменение атрибутов пользователя; б) управление членством пользователей в своей организации/подразделении и нижестоящих по иерархии: 1) присоединение любых пользователей организации 9
  10. 10. (предоставление роли представителя ОИВ); 2) назначение и изменение атрибутов профиля пользователя в организации; 3) отсоединение пользователей от организации (отзыв роли представителя ОИВ); При выполнении операций с учетными записями оператор регистрациизаверяет свои действия своей ЭП. Предоставление полномочий оператора регистрации осуществляетоператор полномочий. При разработке интерфейса взаимодействия операторов регистрации сЕСИА должны быть учтены следующие ограничения: а) Операторы регистрации не должны иметь возможность просмотра личной карточки произвольного пользователя ЕСИА. б) Операторы могут иметь возможность выборки, просмотра и редактирования личных карточек пользователей только в пределах своей организации / подразделения и нижестоящих по иерархии. Оператор полномочий ОИВ Оператор полномочий – это пользователь, который может выдаватьполномочия по доступу к определённым ресурсам пользователям, входящимв определённую организацию. Для получения полномочий, пользовательдолжен предоставить оператору полномочий обоснования в соответствии сдействующим регламентом. Оператор полномочий может выполнять следующие операции: а) предоставление и отзыв полномочий пользователей в своей организации и нижележащих по иерархии. Оператор полномочий не должен иметь возможность предоставленияполномочий самому себе. Предоставление полномочий оператораполномочий осуществляет оператор полномочий вышестоящего ОИВ. Оператор полномочий при выполнении операций назначения и отзываполномочий заверяет эти операции своей ЭП. 10
  11. 11. Для решения задач управления идентификационными данными иполномочиями представителей ОИВ в ЕСИА будет создана иерархическаяструктура операторов регистрации и операторов полномочий (Рисунок 3).Операторы Минкомсвязи России назначаются в процессе начальногоконфигурирования ЕСИА. Операторы Минкомсвязи России назначаютоператоров федеральных и региональных ОИВ самого верхнего уровня (виерархии ОИВ РФ). Операторы федеральных ОИВ назначают операторовкаждого ФОИВ. А они в свою очередь назначают операторовподведомственных им ОИВ. Операторы региональных ОИВ назначаютоператоров ОИВ в каждом регионе РФ. uc Операторы Операторы Микомсвязи Операторы Операторы федеральных ОИВ региональных ОИВ Операторы ФОИВ-n Операторы Операторы Операторы ФОИВ-1 региональных ОИВ региональных ОИВ региона 1 региона 83 Рисунок 3 – Иерархия операторов Схема назначения любого нового оператора ОИВ: а) Оператор регистрации ОИВ регистрирует пользователя с ролью представителя своего или нижестоящего ОИВ; б) Оператор полномочий ОИВ предоставляет новому пользователю с ролью представителя ОИВ полномочия оператора регистрации или оператора полномочий в своём или нижестоящем ОИВ. 11
  12. 12. 2 СХЕМЫ ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ ДОСТУПЕ ПРЕДСТАВИТЕЛЕЙ ОИВ ЕСИА участвует в управлении доступом должностных лиц ОИВ кресурсам информационных систем ОИВ следующим образом: а) ЕСИА обеспечивает идентификацию и однократную аутентификацию должностных лиц ОИВ и предоставляет информационным системам ОИВ информацию об идентификационных данных и полномочиях должностных лиц ОИВ (п. 2.3); б) ЕСИА обеспечивает управление идентификационными данными и полномочиями должностных лиц ОИВ на протяжении их жизненного цикла (создание, изменение, удаление данных). ЕСИА не выполняет авторизацию доступа к информационнымсистемам ОИВ. Решение об авторизации принимает информационнаясистема ОИВ на основании полученной из ЕСИА информации опользователе, запрашивающем доступ. Для того чтобы ЕСИА могла обеспечить однократную аутентификациюпредставителей ОИВ, необходимо следующее: а) должностные лица ОИВ должны быть зарегистрированы в ЕСИА (п. 2.1); б) ИС ОИВ должны быть зарегистрированы в ЕСИА и доработаны для взаимодействия с ЕСИА (п. 2.4). Для того чтобы ЕСИА могла предоставлять информационнымсистемам ОИВ информацию о полномочиях должностных лиц ОИВ: а) владелец (оператор) ИС ОИВ должен вести в ЕСИА справочник полномочий в привязке к своей ИС (п. 2.5); б) полномочия должны быть предоставлены должностным лицам ОИВ (п. 2.2). 12
  13. 13. 2.1 Регистрация представителей ОИВ в ЕСИА Далее рассмотрены следующие варианты регистрации представителейОИВ в ЕСИА: а) через графический интерфейс ЕСИА; б) через веб-сервисы СМЭВ; в) через систему IdM и веб-сервисы СМЭВ. 2.1.1 Регистрация представителей ОИВ через графический интерфейс ЕСИА Краткое описание варианта использования: Оператор регистрации1вводит данные нового работника в ЕСИА, чтобы создать для него учетнуюзапись с ролью представителя ОИВ2. ЕСИА проверяет достоверностьидентификационных данных регистрируемого пользователя, вызывая веб-сервисы соответствующих ведомств3, зарегистрированные в СМЭВ. Еслипроверки пройдены успешно, ЕСИА создаёт для нового работника ОИВучетную запись с ролью представителя ОИВ (или изменяет данныепользователя, если он уже был зарегистрирован). Атрибуты представителя ОИВ: а) личные данные: 1) СНИЛС – обязательный атрибут; основной идентификатор; выполняется автоматическая верификация в ПФР на соответствие СНИЛС и ФИО; 2) Фамилия – обязательный атрибут; 3) Имя – обязательный атрибут; 4) Отчество – обязательный атрибут (если есть в паспорте); 5) ИНН – необязательный атрибут; если атрибут заполнен, то1 Оператором регистрации может быть, например, сотрудник кадрового подразделения ОИВ2 Оператор регистрации ответственен за проверку документов регистрируемого пользователя и проверкудостоверности вводимой информации.3 В настоящее время СИА использует веб-сервис ПФР для проверки соответствия СНИЛС и ФИО; веб-сервис ФНС для проверки соответствия ИНН и ФИО; веб-сервис ФМС для проверки паспортных данных(только для иностранных граждан). 13
  14. 14. выполняется автоматическая верификация в ФНС на соответствие ИНН и ФИО; 6) удостоверение личности (серия, номер, дата выдачи, кем выдано) – обязательный атрибут4; б) информация, характеризующая связь с ОИВ: 1) Идентификатор ОИВ – обязательный атрибут; 2) Подразделение – необязательный атрибут; 3) Должность – необязательный атрибут; 4) Комментарий – необязательный атрибут.4 В перспективе возможно внедрение автоматической верификации паспортных данных граждан РФ сиспользованием веб-сервиса ФМС 14
  15. 15. BPMN Регистрация представителей ОИВ через GUI (simple) «Pool» Оператор регистрации «Pool» ЕСИА В регламенте указан порядок регистрации предс тавителей ОИВ и требуемые документы Запус к процесс а регис трации предс тавителя ОИВ Личное Выполняетс я обращение автоматическая пользователя верификация с Регламент использованием Проверить ОИВ Вывес ти web-сервис ов ОИВ, предоставленные интерфейс для размещённых в документы ввода данных СМЭВ Данные не прошли форматно-логичес кий Запус тить процес с контроль или регис трации Проверить данные верификацию предс тавителя ОИВ в ЕСИА Ввести в ЕСИА данные Создать/обновить пользователя учетную запис ь пользователя с ролью представителя ОИВ Получено с ообщение об Сообщить о ошибке результате Получено с ообщение об ус пешной регистрации Работник Не удалось зарегистрирован в зарегистрировать ЕСИА / изменены работника в идентификационные ЕСИА данные Рисунок 4 – Регистрация / изменение идентификационных данных представителей ОИВ через графический интерфейс ЕСИА (диаграмма процесса) 15
  16. 16. uc Регистрация представителей ОИВ через графический интерфейс ЕСИА ОИВ :Оператор ЕСИА СМЭВ регистрации ОИВ ПФР ФНС :Оператор регистрации Рисунок 5 - Регистрация / изменение идентификационных данных представителей ОИВ через графический интерфейс ЕСИА (архитектура решения) Особенности реализации с точки зрения ОИВ: необходимо обязатьработника кадрового подразделения или другого работника ОИВрегистрировать учетные записи в ЕСИА. Особенности реализации с точки зрения ЕСИА: необходиморазработать графический интерфейс для регистрации представителей ОИВ. 2.1.2 Регистрация представителей ОИВ через веб-сервисы СМЭВ Краткое описание варианта использования: Сотрудник кадровогоподразделения ввёл данные нового работника в кадровую информационнуюсистему (или изменил данные существующего работника). Кадроваяинформационная система предоставляет в ЕСИА данные о работнике. Дляэтого кадровая информационная система вызывает веб-сервис регистрациипользователей ЕСИА, зарегистрированный в СМЭВ. ЕСИА проверяетдостоверность идентификационных данных регистрируемого пользователя,вызывая веб-сервисы соответствующих ведомств, зарегистрированные в 16
  17. 17. СМЭВ. Если проверки пройдены успешно, ЕСИА создаёт для новогоработника ОИВ учетную запись с ролью представителя ОИВ (или изменяетданные зарегистрированного пользователя).BPMN Регистрация представителей ОИВ через w eb-сервисы СМЭВ «Pool» Орган исполнительной власти «Pool» СМЭВ «Pool» ЕСИА «Lane» Кадровая система Создан новый Выполняется работник/ изменены автоматическая данные верификация с с ущес твующего использованием работника web-с ервис ов Получены данные о новом ОИВ, работнике ОИВ размещённых в Предос тавить СМЭВ данные в ЕСИА через СМЭВ Данные не прошли форматно-логичес кий Проверить данные контроль или верификацию Создать/обновить учетную запис ь пользователя ролью Получено предс тавителя с ообщение ОИВ об ошибке Сообщить о результате Получено с ообщение об ус пешной регис трации Работник Данные обработаны Работника не зарегистрирован в удалос ь ЕСИА / изменены зарегис трировать идентификационные в ЕСИА данные Рисунок 6 – Регистрация / изменение идентификационных данных представителей ОИВ через веб-сервисы СМЭВ (диаграмма процесса) 17
  18. 18. uc Регистрация представителей ОИВ через w eb-сервисы СМЭВ ОИВ Кадровая инф. система :Сотрудник кадрового подразделения Региональное подразделение ОИВ Кадровая СМЭВ ЕСИА инф. система :Сотрудник кадрового подразделения ОИВ Кадровая ПФР ФНС инф. система :Сотрудник кадрового подразделения Рисунок 7 – Регистрация / изменение идентификационных данных представителей ОИВ через веб-сервисы СМЭВ (архитектура решения) Особенности реализации с точки зрения ОИВ: необходимо доработатькадровую систему. Особенности реализации с точки зрения ЕСИА: необходиморазработать для СМЭВ веб-сервис для регистрации пользователей. 2.1.3 Регистрация представителей ОИВ через систему IdM5 и веб-сервисы СМЭВ Краткое описание варианта использования: Сотрудник кадровогоподразделения ввёл данные нового работника в кадровую информационнуюсистему. Кадровая информационная система предоставляет в IdM-системуОИВ данные о новом работнике. IdM-система предоставляет в ЕСИА5 Система IdM – класс информационных систем, предназначенных для централизованного управленияидентификационными данными и полномочиями пользователей в масштабах организации 18
  19. 19. данные о новом работнике. Для этого IdM-система вызывает веб-сервисрегистрации пользователей ЕСИА, зарегистрированный в СМЭВ. ЕСИАсоздаёт для нового работника ОИВ учетную запись с ролью представителяОИВ.BPMN Регистрация представителей ОИВ через систему IdM и w eb-сервисы СМЭВ «Pool» Орган исполнительной власти «Pool» СМЭВ «Pool» ЕСИА «Lane» Кадровая система «Lane» Система IdM Получены Создан новый данные о работник/ изменены новом данные работнике ОИВ существующего работника Данные не прошли форматно-логический Предоставить контроль или данные в систему верификацию IdM Проверить данные Создать/изменить учетную запись в системе IdM Создать/обновить учетную запись Предоставить пользователя данные в ЕСИА ролью через СМЭВ представителя ОИВ Сообщить о результате Получено Получено сообщение об сообщение об ошибке успешной регистрации Данные обработаны Работник зарегистрирован в Не удалось ЕСИА / изменены зарегистрировать идентификационные работника в данные ЕСИА Рисунок 8 – Регистрация / изменение идентификационных данных представителей ОИВ через систему IdM и веб-сервисы СМЭВ (диаграмма процесса) 19
  20. 20. uc Регистрация представителей ОИВ через систему IdM и w eb-сервисы СМЭВ ОИВ Кадровая инф. система :Сотрудник кадрового Система IdM подразделения Региональное подразделение ОИВ Кадровая инф. система :Сотрудник кадрового подразделения СМЭВ ЕСИА ОИВ Кадровая Система IdM инф. система ПФР ФНС :Сотрудник кадрового подразделения Рисунок 9 - Регистрация / изменение идентификационных данных представителей ОИВ через систему IdM и веб-сервисы СМЭВ (архитектура решения) Особенности реализации с точки зрения ОИВ: необходимо внедритьсистему IdM и интегрировать IdM с кадровой системой и со СМЭВ. Особенности реализации с точки зрения ЕСИА: необходиморазработать для СМЭВ веб-сервис для регистрации пользователей. 2.2 Предоставление/отзыв полномочий представителям ОИВ в ЕСИА 2.2.1 Предоставление / отзыв полномочий представителям ОИВ через графический интерфейс ЕСИА Краткое описание варианта использования: Оператор полномочийполучил обоснования необходимости предоставления полномочий одному из 20
  21. 21. работников ОИВ6. Оператор полномочий предоставляет полномочияработнику ОИВ, используя графический интерфейс ЕСИА. BPMN Предоставление полномочий представителям ОИВ через GUI «Pool» Оператор полномочий «Pool» ЕСИА Получено обос нование необходимос ти предос тавления Регламент полномочий ОИВ Выбрать пользователя и отредактировать полномочия Изменить полномочия пользователя с ролью предс тавителя ОИВ Получено сообщение о результате Сообщить о регис трации результате Полномочия предос тавлены Полномочия измененыРисунок 10 - Предоставление / отзыв полномочий представителям ОИВ через графический интерфейс ЕСИА (диаграмма процесса)76 Требования к обоснованию необходимости предоставления полномочий должны быть определены врегламенте ОИВ7 На этой и последующих диаграммах процессов рассмотрены только успешные сценарии развитияпроцесса. Это сделано умышленно, чтобы излишне не перегружать диаграммы 21
  22. 22. uc Предоставление полномочий представителям ОИВ через графическ... ОИВ :Оператор полномочий ЕСИА ОИВ :Оператор полномочийРисунок 11 - Предоставление / отзыв полномочий представителям ОИВ через графический интерфейс ЕСИА (архитектура решения) 2.2.2 Предоставление / отзыв полномочий представителям ОИВ через систему IdM и веб-сервисы СМЭВ Краткое описание варианта использования: В системе IdM произошлоназначение и/или согласование полномочий работника ОИВ по доступу кинформационным ресурсам8. IdM-система передаёт в ЕСИА данные ополномочиях работника ОИВ. Для этого IdM-система вызывает веб-сервисуправления полномочиями пользователей ЕСИА, зарегистрированный вСМЭВ. ЕСИА предоставляет полномочия соответствующему пользователю сролью представителя ОИВ.8 Процессы предоставления прав доступа проектируются для каждого ОИВ при внедрении им системы IdM 22
  23. 23. BPMN Предоставление полномочий представителям ОИВ через систему IdM и w eb-сервисы СМЭВ «Pool» Орган исполнительной власти «Pool» СМЭВ «Pool» ЕСИА «Lane» Система IdM Работнику ОИВ назначены полномочия по доступу к информационным ресурс ам Получено сообщение об изменении полномочий представителя ОИВ Предоставить данные в ЕСИА через СМЭВ Изменить полномочия представителя ОИВ Получено с ообщение об успешном предос тавлении полномочий Сообщить о результате Полномочия предос тавлены Создан пользователь с ролью представителя ОИВ / изменены идентификационные данные Рисунок 12 – Предоставление полномочий представителям ОИВ через систему IdM и веб-сервисы СМЭВ 23
  24. 24. uc Предоставление полномочий претавителям ОИВ через систему IdM и w eb-сервисы СМЭВ ОИВ Система IdM СМЭВ ЕСИА ОИВ Система IdMРисунок 13 - Предоставление / отзыв полномочий представителям ОИВ через систему IdM и веб-сервисы СМЭВ (архитектура решения) 2.3 Идентификация / аутентификация представителей ОИВ в ЕСИА Краткое описание варианта использования: Должностное лицо ОИВзапрашивает доступ к защищённому ресурсу ИС ОИВ. ИС ОИВ запрашиваетв ЕСИА информацию о должностном лице ОИВ и принимает решение опредоставлении доступа. Основной сценарий: а) Должностное лицо ОИВ запрашивает доступ к защищённому ресурсу ИС ОИВ. б) ИС ОИВ направляет в ЕСИА запрос на аутентификацию. в) ЕСИА проверяет наличие у должностного лица ОИВ открытой сессии и, если активная сессия отсутствует, проводит его аутентификацию. Для этого ЕСИА направляет пользователя на свою страницу аутентификации. 24
  25. 25. г) ЕСИА передаёт в ИС ОИВ набор утверждений, содержащих идентификационные данные пользователя, информацию о контексте аутентификации и полномочиях пользователя.д) На основании полученной из ЕСИА информации, ИС принимает решение об авторизации — разрешает или запрещает доступ к ресурсуПримечания:а) В соответствии с описанным выше сценарием может осуществляться идентификация / аутентификация как внешних, так и внутренних пользователей (по отношению к ОИВ, владеющему ИС).б) Внешние пользователи, не имеющие учетных записей в самой ИС, могут быть аутентифицированы только через ЕСИА (в соответствии с описанным выше сценарием).в) Аутентификацию внутренних пользователей можно выполнять как с использованием ЕСИА, так и с использованием уже внедрённых в ИС механизмов аутентификации пользователей. Два механизма аутентификации могут работать одновременно. Выбор приоритетного механизма аутентификации внутренних пользователей осуществляется на усмотрение владельца ИС.г) В результате авторизации пользователь получает доступ к ресурсам ИС в соответствии с назначенными ему полномочиями. 25
  26. 26. Рисунок 14 – Идентификация / аутентификация пользователей в ЕСИА 26
  27. 27. 2.4 Регистрация информационной системы, использующей ЕСИА для идентификации / аутентификации пользователей Краткое описание варианта использования: Владелец ИС черезтехнологический портал ЕСИА обращается к оператору ЕСИА длярегистрации ИС и ее метаданных. Оператор ЕСИА в установленныерегламентом сроки регистрирует ИС в системе НСИ и метаданные ИС всистеме ЕСИА. Рисунок 15 – Регистрация информационной системы, использующей ЕСИА для идентификации/аутентификации пользователей Основной сценарий: а) Владелец ИС хочет настроить аутентификацию пользователей своей системы через ЕСИА. б) Владелец ИС дорабатывает свою ИС9. в) Владелец ИС обращается к оператору ЕСИА и передаёт ему через технологический портал ЕСИА паспорт ИС и метаданные ИС. г) Оператор ЕСИА в установленные регламентом сроки вносит данные об ИС в справочник ИС, расположенный в системе НСИ. д) Данные из справочника ИС ОИВ распространяются в ЕСИА.9 Необходимые доработки рассмотрены в «Руководстве разработчика по интеграции внешней ИС с СИАИЭП» 27
  28. 28. е) Оператор ЕСИА после успешной регистрации ИС в системе НСИ регистрирует метаданные ИС (в том числе сертификат ЭП ИС) в системе ЕСИА. Примечания: а) Справочник ИС ОИВ должен содержать следующую информацию: • краткое наименование ИС; • полное наименование ИС; • владелец ИС (наименование ОИВ); • контактные данные ответственного лица. 2.5 Ведение справочника полномочий ИС ОИВ Краткое описание варианта использования: Владелец ИС ведётсправочник полномочий ИС через технологический портал ЕСИА. Основной сценарий: а) Владелец ИС хочет, чтобы разные категории пользователей получали разные права доступа к ресурсам его ИС. б) Владелец ИС обращается к оператору ЕСИА и передаёт ему через технологический портал ЕСИА справочник полномочий своей ИС. в) Оператор ЕСИА через технологический портал ЕСИА подтверждает изменение справочника полномочий ИС (добавляет или удаляет полномочия) г) Владелец ИС изменяет механизм авторизации в своей ИС так, чтобы ИС принимала решение об авторизации на основании информации о полномочиях, полученной из ЕСИА. Примечания: а) После добавления нового полномочия в справочник полномочий, оператор полномочий ЕСИА сможет предоставить это полномочие должностному лицу ОИВ. 28
  29. 29. 3 СХЕМА ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ ДОСТУПЕ ПОЛЬЗОВАТЕЛЕЙ ИНТЕРНЕТ ЕСИА участвует в управлении доступом пользователей Интернет кресурсам информационных систем ОИВ (например, веб-порталам ОИВ)следующим образом: а) ЕСИА обеспечивает идентификацию и однократную аутентификацию пользователей и предоставляет информационным системам ОИВ информацию об идентификационных данных пользователей (п. 3.2); б) ЕСИА обеспечивает управление идентификационными данными пользователей. ЕСИА позволяет пользователям Интернет использовать один парольдля доступа ко всем веб-порталам ОИВ, подключенным к ЕСИА, ипроходить процедуру аутентификации только один раз на протяженииодного сеанса работы в Интернет. Для того чтобы ЕСИА могла выполнятьоднократную аутентификацию пользователей Интернет, необходимоследующее: а) пользователи должны быть зарегистрированы в ЕСИА (п. 3.1); б) ИС ОИВ должны быть зарегистрированы в ЕСИА (п. 2.4). 3.1 Регистрация пользователей Интернет в ЕСИА Краткое описание варианта использования: Пользователь Интернетрегистрируется в ЕСИА, чтобы получить возможность доступа кперсональным сервисам на веб-порталах ОИВ. Основной сценарий: а) Пользователь заходит на главную страницу веб-портала ИС ОИВ и нажимает кнопку регистрации. б) ИС ОИВ перенаправляет пользователя в ЕСИА. в) Пользователь заполняет форму регистрации. 29
  30. 30. г) ЕСИА осуществляет проверку введенных данных, после чего создает учетную запись. 3.2 Идентификация / аутентификация пользователей Интернет в ЕСИА Идентификация и аутентификация для пользователей Интернетосуществляется так же, как и для должностных лиц ОИВ (см. пункт 2.3). 30
  31. 31. 4 СХЕМА ИСПОЛЬЗОВАНИЯ ЕСИА ПРИ МЕЖВЕДОМСТВЕННОМ ВЗАИМОДЕЙСТВИИ ЕСИА участвует в межведомственном взаимодействии ИС ОИВ черезСМЭВ следующим образом: ЕСИА предоставляет в СМЭВ информацию обидентификационных данных и полномочиях ИС ОИВ, вызывающих сервисыСМЭВ (п. 4.4). Для того чтобы ЕСИА могла предоставлять эту информацию,ИС ОИВ должны быть предварительно зарегистрированы в ЕСИА (п. 4.1.1) иим должны быть предоставлены полномочия по доступу к сервисам СМЭВ(п. 4.3). Кроме этого в ЕСИА и СМЭВ должен вестись справочникполномочий по доступу к сервисам СМЭВ (п. 4.2). 4.1 Регистрация информационных систем ОИВ, осуществляющих межведомственное взаимодействие через СМЭВ 4.1.1 Регистрация информационной системы, использующей сервисы СМЭВ Краткое описание варианта использования: Владелец ИС обращается коператору СМЭВ. Оператор СМЭВ регистрирует ИС, её сертификат иполномочия по доступу к СМЭВ. 31
  32. 32. Рисунок 16 - Регистрация информационной системы, вызывающей сервисы СМЭВ Основной сценарий: а) Владелец ИС хочет, чтобы его система могла использовать электронный сервис СМЭВ. Он получает в доверенном (аккредитованном) УЦ сертификат ЭП для своей ИС. Затем он обращается к оператору СМЭВ и передаёт ему паспорт ИС и сертификат ЭП для информационной системы. б) Оператор СМЭВ вносит данные об ИС (и её владельце) в справочник ИС, расположенный в системе НСИ. в) Данные из справочника ИС распространяются в ЕСИА и СМЭВ. г) Оператор СМЭВ регистрирует в ЕСИА сертификат ИС и назначает полномочия по доступу к сервисам СМЭВ. 4.1.2 Регистрация информационной системы, предоставляющей сервисы в СМЭВ Краткое описание варианта использования: Владелец ИС обращается коператору СМЭВ. Оператор СМЭВ регистрирует ИС, электронные сервисы,а также осуществляет настройку прав доступа к электронным сервисам дляразличных полномочий СМЭВ. 32
  33. 33. Рисунок 17 – Регистрация информационной системы, предоставляющей сервисы на СМЭВ Основной сценарий: а) Владелец ИС хочет разместить в СМЭВ электронный сервис своей системы. Он обращается к оператору СМЭВ и передаёт ему паспорт ИС и электронного сервиса. б) Оператор СМЭВ вносит данные об ИС в справочник ИС, расположенный в системе НСИ. в) Данные из справочника ИС распространяются в СМЭВ и ЕСИА. г) Оператор СМЭВ регистрирует в СМЭВ электронный сервис и настраивает матрицу доступа, в которой указывает, какие полномочия должны иметь другие ИС для получения доступа к новому электронному сервису. 4.2 Ведение справочника полномочий СМЭВ Краткое описание варианта использования: Оператор СМЭВ пополняетсправочник полномочий СМЭВ. Основной сценарий: а) Оператор СМЭВ решил, что с использованием действующего справочника полномочий СМЭВ стало невозможно настроить 33
  34. 34. политику доступа, отвечающую потребностям ОИВ. б) Оператор СМЭВ регистрирует новое полномочие по доступу к СМЭВ в справочнике полномочий ЕСИА. в) Оператор СМЭВ регистрирует новое полномочие по доступу к СМЭВ в справочнике полномочий СМЭВ. г) Оператор СМЭВ настраивает в СМЭВ матрицу доступа, в которой указано соответствие полномочий и объектов доступа (веб- сервисов, зарегистрированных в СМЭВ). Примечания: а) После выполнения описанного выше сценария, оператор СМЭВ сможет предоставить новое полномочие информационной системе ОИВ, зарегистрированной в ЕСИА. б) Справочник может иметь иерархическую структуру, например: - Базовое полномочие - - Базовое полномочие федеральной системы - - Базовое полномочие региональной системы - - - Базовое полномочие доступа к сервисам ФНС в) При ведении справочника полномочий оператор СМЭВ должен стремиться минимизировать количество полномочий. 4.3 Предоставление информационным системам ОИВ полномочий по доступу к сервисам СМЭВ Краткое описание варианта использования: Оператор СМЭВ получилобоснования необходимости предоставления полномочий информационнойсистеме ОИВ10. Оператор СМЭВ входит в ЕСИА (с ролью оператораполномочий) и предоставляет информационной системе полномочия,используя графический интерфейс ЕСИА.10 Требования к обоснованию необходимости предоставления полномочий должны быть определены врегламенте 34
  35. 35. BPMN Предоставление полномочий информационным системам через GUI «Pool» Оператор полномочий «Pool» ЕСИА Получено обоснование необходимости предос тавления Регламент полномочий Выбрать информационную систему и отредактировать полномочия Изменить полномочия информационной системы Получено с ообщение об ус пешном Сообщить о результате результате Полномочия предоставлены Полномочия измененыРисунок 18 – Предоставление полномочий информационным системам ОИВ 4.4 Авторизация информационных систем при межведомственном взаимодействии Краткое описание варианта использования: ИС ОИВ передаёт черезСМЭВ сообщение для другой ИС ОИВ. СМЭВ запрашивает в ЕСИАидентификационные данные и полномочия ИС ОИВ, инициировавшеймежведомственное взаимодействие. 35
  36. 36. Рисунок 19 - Авторизация информационных систем при межведомственном взаимодействииРисунок 20 – Авторизация информационных систем при межведомственном взаимодействии 36
  37. 37. Основной сценарий:а) Информационная система инициировала передачу через СМЭВ сообщения. Сообщение соответствует методическим рекомендациям СМЭВ и содержит электронную подпись информационной системы, инициировавшей отправку сообщения через СМЭВ.б) СМЭВ осуществляет проверку поступившего сообщения. Для целей авторизации межведомственного взаимодействия передает запрос, содержащий сертификат информационной системы (отправителя сообщения) в ЕСИА.в) Система ЕСИА взаимодействует с информационной системой сервисов ЕПД для проверки действительности сертификата информационной системы. Затем, с помощью сертификата, выполняет идентификацию информационной системы. Результаты идентификации информационной системы ЕСИА передает в СМЭВ. Вместе с результатами идентификации в СМЭВ также передаются данные о полномочиях информационной системы.г) СМЭВ на основе полученной от ЕСИА информации с результатами идентификации осуществляет контроль доступа с использованием матриц доступа, задающих набор информационных систем, сервисов и операций, доступных для использования при наличии тех или иных полномочий информационных систем. 37
  38. 38. 5 РАЗЛИЧИЯ МЕЖДУ ТЕХНОЛОГИЧЕСКИМИ ПОРТАЛАМИ ЕСИА И СМЭВ Из бизнес-сценариев, рассмотренных в главах 2.4, 2.5, 4.1, 4.2, 4.3,следуют следующие варианты использования технологических порталовЕСИА и СМЭВ и системы НСИ: а) Оператор СМЭВ использует технологический портал СМЭВ для: 1) регистрации и настройки сервисов СМЭВ; 2) настройки Единой матрицы доступа, в которой определено, какие полномочия должны иметь другие ИС для получения доступа к сервису. б) Оператор СМЭВ использует технологический портал ЕСИА для: 1) ведения справочника полномочий по доступу к сервисам СМЭВ; 2) регистрации сертификата ЭП ИС участника взаимодействия, вызывающей сервисы СМЭВ; 3) предоставления ИС участника взаимодействия полномочий по доступу к сервисам СМЭВ. в) Оператор ИС, который хочет использовать ЕСИА для идентификации и аутентификации пользователей, использует технологический портал ЕСИА для: 1) подачи заявки на регистрацию ИС и ее метаданных (в том числе сертификата ЭП) в системе ЕСИА; 2) ведения справочника полномочий по доступу к своей ИС. г) Операторы СМЭВ используют систему НСИ для регистрации в справочнике ИС участников взаимодействия базовой информации об ИС, взаимодействующих через СМЭВ. д) Операторы ЕСИА используют систему НСИ для регистрации в справочнике ИС ОИВ базовой информации об ИС, использующих ЕСИА для идентификации и аутентификации пользователей. 38
  39. 39. 6 РЕКОМЕНДАЦИИ ДЛЯ ВЛАДЕЛЬЦЕВ ИС ОИВ 6.1 Рекомендации по регистрации должностных лиц ОИВ в ЕСИА У каждого ведомства должна быть возможность самостоятельнопринять решение по вопросу, каких работников нужно регистрировать вЕСИА в обязательном порядке. В первую очередь в ЕСИА рекомендуетсязарегистрировать следующие категории работников ОИВ: а) должностные лица ОИВ, которые потенциально являются пользователями ИС других ведомств; б) должностные лица ОИВ, которые для выполнения своей деятельности используют СМЭВ или ИС, подключенные к СМЭВ; в) владельцы ИС ОИВ, которые хотят интегрировать свою ИС с ЕСИА, чтобы использовать ЕСИА для идентификации / аутентификации пользователей; г) должностные лица ОИВ, которые станут операторами ЕСИА (будут регистрировать других должностных лиц в ЕСИА, предоставлять полномочия). 6.2 Рекомендации по авторизации доступа пользователей, которые прошли аутентификацию в ЕСИА За разработку и настройку механизма авторизации и политик доступа кресурсам ИС отвечает владелец ИС. ЕСИА только предоставляет в ИСинформацию о пользователе, которая включает: а) идентификатор пользователя; б) значения определенных атрибутов учетной записи пользователя; в) способ аутентификации пользователя; г) уровень достоверности идентификации пользователя; д) полномочия пользователя в ИС. 39

×